S5700配置IPSG功能后非法用户盗用合法用户IP接入会导致合法用户丢包

发布时间:  2016-12-21 浏览次数:  391 下载次数:  0
问题描述

S5700已配置IPSG功能,但反馈有非法用户盗用合法用户IP接入时,会导致合法用户Ping丢包。

设备侧相关配置:

user-bind static ip-address 10.1.1.57 mac-address 3860-7747-2ff2

interface GigabitEthernet0/0/1

 ip source check user-bind enable

处理过程

增加DAI功能部署后问题解决

user-bind static ip-address 10.1.1.57 mac-address 3860-7747-2ff2

interface GigabitEthernet0/0/1

 ip source check user-bind enable

 arp anti-attack check user-bind enable

根因
IPSG功能只能检查接口上接收到的IP报文,无法检查接口上收到的ARP报文。导致非法用户盗用合法用户接入后发送ARP请求广播报文,产生ARP冲突,导致合法用户网络Ping丢包。
解决方案
部署IPSG的同时配置DAI功能后问题解决
建议与总结

IPSG和DAI的区别

IP源防攻击IPSG(IP Sourec Guard)和动态ARP检测DAI(Dynamic ARP Inspection)都是利用绑定表(静态绑定表或者DHCP Snooping绑定表)实现对报文过滤的技术。它们的主要区别如表1所示。

表1  IPSG与DAI的区别

特性

功能介绍

应用场景

IPSG

利用绑定表对IP报文进行过滤。设备会匹配检查接口上接收到的IP报文,只有匹配绑定表的IP报文才允许通过。

防止IP地址欺骗攻击。如防止非法主机盗用合法主机的IP地址,非法获取上网权限或者攻击网络。

DAI

利用绑定表对ARP报文进行过滤。设备会匹配检查接口上接收到的ARP报文,只有匹配绑定表的ARP报文才允许通过。

防御中间人攻击。中间人通过ARP欺骗,引导流量从自己这里经过,从而可以截获他人信息。

IPSG只检查IP报文,不检查ARP报文,所以IPSG无法避免地址冲突。例如,当非法主机在合法主机在线时盗用其IP地址,非法主机发送的ARP请求报文会广播给合法主机,从而产生地址冲突。所以,为了避免IP地址冲突,可以在部署IPSG的同时配置DAI。

由此可见,两项技术是针对不同需求的。为了网络更加安全,可以同时配置。

END